Re: Neuer (moechtegern) Skolelinux Nutzer

To: Joachim Heller <j_heller@gmx.de>
Cc: Skolelinux Liste <User@skolelinux.de>, "Roland F.Teichert" <rfteichert@imail.de>
Subject: Re: Neuer (moechtegern) Skolelinux Nutzer
From: Klaus Knopper <skolelinux@knopper.net>
Date: Sat, 23 Oct 2010 00:41:31 +0200
Message-id: <[🔎] 20101022224130.GK27272@knopper.net>
In-reply-to: <[🔎] 000901cb7215$dfe38260$c805a8c0@schule>
References: <[🔎] 001901cb707b$bacbd540$c805a8c0@schule> <4CC09D9D.2020302@googlemail.com> <[🔎] 000501cb715f$64a5a440$c805a8c0@schule> <[🔎] 4CC0A8B6.80909@imail.de> <[🔎] 000901cb7215$dfe38260$c805a8c0@schule>

Hallo allerseits,

On Fri, Oct 22, 2010 at 08:08:48PM +0200, Joachim Heller wrote:
> > Die Workstations können nur und
> > ausschließlich den Server ansprechen.
> 
> Da sind wir beim Problem. Wie wird das sicher gestellt?

Sofern die Schüler keinen root-Zugang haben, können sie auch keine
Defaultroute setzen (das ist der Eintrag, den man braucht, um das lokale
Netz verlassen zu können). Wenn keine gesetzt ist, haben die Clients
tatsächlich nicht die Möglichkeit, ins Internet zu kommen, außer über
den per lokaler Netzwerkroute erreichbaren Tjener.

Das Szenario funktioniert allerdings nur bei Clients, die vollständig
unter Kontrolle sind.

> Ich rede von Windows Clients. Im (jedem) Browser laesst sich irgendwo
> ein Proxy eintragen. Auch von eingeschraenkten Benutzern.

Wenn keine Defaultroute auf den Clients existiert, können sie auch keine
externen Proxies verwenden, da sie Rechner außerhalb des lokalen
Netzwerks nicht erreichen können. D.h. man bekommt dann einfach keine
Verbindung zu dem Proxy, den man in den Einstellungen angibt, da dieser
nicht im lokalen Netz erreichbar ist.

Der Tjener darf natürlich nicht den ihm bekannten Router ins Internet
per DHCP propagieren, sonst kommen die Clients in der Tat eine direkte
Defaultroute und können unabhängig surfen.

> Wenn da nun jmd die IP vom Gateway (ist ja kein Geheimnis und
> jederzeit von jedem in der Doku nachlesbar) eintraegt?

Zumindest unter Linux hat nur der Administrator dazu die Möglichkeit,
aber es ist generell nicht ratsam, sich darauf zu verlassen, dass
niemand im lokalen Netz in der Lage ist, etwas an seiner eigenen
Netzwerkkonfiguration zu verändern.

Eine bessere Variante, die auch mit schülereigenen Notebooks
funktioniert, ist, auf dem Gateway das Forwarding ins Internet auf die
IP des Tjener (10.0.2.2) zu beschränken, und keine anderen Rechner
zuzulassen. Das hat bedingt mit dem Thema "Firewall" zu tun, ist aber
eher eine selektive Freischaltung einer IP.

Damit kommen die anderen Rechner im gleichen Netz nicht mehr direkt ins
Internet, selbst wenn sie das Gateway als Defaultroute eintragen, können
aber trotzdem über den Tjener als Proxy surfen, der als einziger einen
funktionierenden Zugriff aufs Internet hat.

> Oder laeuft Squid (Dansguard) als transparenter Proxy und leitet
> automatisch alle Anfragen auf Port 80 um?

Das bringt nur etwas, wenn Tjener selbst als Gateway für die Clients
eingetragen ist. Könnte man dann so machen, aber es gibt ja noch mehr
Ports als 80. Der 443 ist auch ziemlich wichtig.

Viele Grüße
-Klaus Knopper

Reply to:

Follow-Ups:
- Re: Neuer (moechtegern) Skolelinux Nutzer
  - From: Hans-Dietrich Kirmse <hd.kirmse@gmx.de>

References:
- Neuer Skolelinux Nutzer
  - From: "Joachim Heller" <j_heller@gmx.de>
- Re: Neuer Skolelinux Nutzer
  - From: "Joachim Heller" <j_heller@gmx.de>
- Re: Neuer Skolelinux Nutzer
  - From: "Roland F.Teichert" <rfteichert@imail.de>
- Re: Neuer (moechtegern) Skolelinux Nutzer
  - From: "Joachim Heller" <j_heller@gmx.de>

Prev by Date: Re: Neuer (moechtegern) Skolelinux Nutzer
Next by Date: Re: Neuer (moechtegern) Skolelinux Nutzer
Previous by thread: Re: Neuer (moechtegern) Skolelinux Nutzer
Next by thread: Re: Neuer (moechtegern) Skolelinux Nutzer
Index(es):
- Date
- Thread